JP5171245B2 - Protocol delay measuring apparatus and protocol delay measuring method - Google Patents
Protocol delay measuring apparatus and protocol delay measuring method Download PDFInfo
- Publication number
- JP5171245B2 JP5171245B2 JP2007339861A JP2007339861A JP5171245B2 JP 5171245 B2 JP5171245 B2 JP 5171245B2 JP 2007339861 A JP2007339861 A JP 2007339861A JP 2007339861 A JP2007339861 A JP 2007339861A JP 5171245 B2 JP5171245 B2 JP 5171245B2
- Authority
- JP
- Japan
- Prior art keywords
- time stamp
- packet
- identifier
- data packet
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0852—Delays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
- H04L43/106—Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B17/00—Monitoring; Testing
- H04B17/30—Monitoring; Testing of propagation channels
- H04B17/309—Measuring or estimating channel quality parameters
- H04B17/364—Delay profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- General Health & Medical Sciences (AREA)
- Cardiology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
Description
本発明は、暗号化通信環境におけるプロトコル遅延(protocol latency)を測定する装置及び方法に関する。 The present invention relates to an apparatus and method for measuring protocol latency in an encrypted communication environment.
データ通信ネットワークシステムの監視又は管理には、ネットワークシステムの処理パフォーマンスについての情報の収集が必要であり、そのために、例えば暗号化通信環境でのプロトコル遅延が測定される。 Monitoring or managing a data communication network system requires the collection of information about the processing performance of the network system, and for this purpose, for example, the protocol delay in an encrypted communication environment is measured.
プロトコル遅延を測定する従来の方法としては、例えば特許文献1に記載されたものがある。この方法では、通信端末におけるカーネル層(通信プロトコルスタック)での暗号化処理に起因するプロトコル遅延を測定するために、通信端末において、先ず、当該暗号化処理適用前の未処理データと同一のデータを、アプリケーション層で暗号化し、その際に得られる署名を保存する。そして、カーネル層で未処理データを暗号化し、その際に得られる署名と、保存した署名とを比較することにより、カーネル層で暗号化される前後のデータの同一性を保証する。そして、同一性が保証されたデータについて、プロトコル遅延の測定が実施される。
しかしながら、上記従来のプロトコル遅延測定方法においては、遅延測定対象の暗号化処理が適用される前後のデータの同一性を保証するための暗号化処理が別途実行されるため、通信端末において処理オーバヘッドが増加するという問題がある。これは、通信端末においてCPU(Central Processing Unit)負荷が単純に2倍となることを意味し、ネットワークプロトコルの送受信処理に十分なリソースが割り当てられない可能性も増大する。すなわち、上記プロトコル測定は、実環境と大きく相違する環境下で行われ得るため、測定精度については必ずしも高精度とはいえない。 However, in the conventional protocol delay measurement method, the encryption processing for guaranteeing the identity of the data before and after the encryption processing for the delay measurement target is separately performed, so that the processing overhead is increased in the communication terminal. There is a problem of increasing. This means that the CPU (Central Processing Unit) load is simply doubled in the communication terminal, and the possibility that sufficient resources are not allocated for transmission / reception processing of the network protocol increases. In other words, the protocol measurement can be performed in an environment that is significantly different from the actual environment, and thus the measurement accuracy is not necessarily high.
本発明は、かかる点に鑑みてなされたもので、プロトコル遅延測定に伴う通信端末の処理オーバヘッド増加を抑制することができるプロトコル遅延測定装置及びプロトコル遅延測定方法を提供することを目的とする。 The present invention has been made in view of this point, and an object of the present invention is to provide a protocol delay measurement apparatus and a protocol delay measurement method capable of suppressing an increase in processing overhead of a communication terminal due to protocol delay measurement.
本発明の一態様に係るプロトコル遅延測定装置は、通信端末におけるIPsec(Internet Protocol Security)処理によるプロトコル遅延を測定するプロトコル遅延測定装置であって、未処理パケットの識別子を生成する識別子生成手段と、生成された識別子を、第1のタイムスタンプと共に記憶するデータベースと、生成された識別子を、前記通信端末においてIPsec処理前後で同一に維持する記憶領域に書き込む書き込み手段と、前記記憶領域に書き込まれた識別子を読み出す読み出し手段と、読み出された識別子と同一の識別子と共に前記データベースに記憶された第1のタイムスタンプを抽出する抽出手段と、抽出された第1のタイムスタンプと、第2のタイムスタンプとの差分を、プロトコル遅延として算出する算出手段と、を有する構成を採る。 A protocol delay measuring apparatus according to an aspect of the present invention is a protocol delay measuring apparatus that measures a protocol delay by IPsec (Internet Protocol Security) processing in a communication terminal, and an identifier generating unit that generates an identifier of an unprocessed packet; A database that stores the generated identifier together with the first time stamp, a writing unit that writes the generated identifier in a storage area that is maintained the same before and after the IPsec processing in the communication terminal, and a data that is written in the storage area Read means for reading the identifier, extraction means for extracting the first time stamp stored in the database together with the same identifier as the read identifier, the extracted first time stamp, and the second time stamp And calculating means for calculating a difference between and as a protocol delay A configuration.
本発明の一態様に係るプロトコル遅延測定方法は、通信端末におけるIPsec(Internet Protocol Security)処理によるプロトコル遅延を測定するプロトコル遅延測定方法であって、未処理パケットの識別子を生成する識別子生成ステップと、生成された識別子を、第1のタイムスタンプと共にデータベースに記憶させる記憶ステップと、生成された識別子を、前記通信端末においてIPsec処理前後で同一に維持する記憶領域に書き込む書き込みステップと、前記記憶領域に書き込まれた識別子を読み出す読み出しステップと、読み出された識別子と同一の識別子と共に前記データベースに記憶させた第1のタイムスタンプを抽出する抽出ステップと、抽出された第1のタイムスタンプと、第2のタイムスタンプとの差分を、プロトコル遅延として算出する算出ステップと、を有するようにした。 A protocol delay measurement method according to an aspect of the present invention is a protocol delay measurement method for measuring a protocol delay by IPsec (Internet Protocol Security) processing in a communication terminal, an identifier generation step for generating an identifier of an unprocessed packet; A storage step of storing the generated identifier in a database together with a first time stamp, a writing step of writing the generated identifier in a storage area that is kept the same before and after IPsec processing in the communication terminal; and A read step for reading the written identifier; an extraction step for extracting a first time stamp stored in the database together with an identifier identical to the read identifier; a first time stamp extracted; The difference between the time stamp and the protocol delay A calculation step of calculating and were to have.
本発明によれば、プロトコル遅延測定に伴う通信端末の処理オーバヘッド増加を抑制することができる。 ADVANTAGE OF THE INVENTION According to this invention, the processing overhead increase of the communication terminal accompanying protocol delay measurement can be suppressed.
以下、本発明の実施の形態について、図面を用いて詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
図1は、本発明の一実施の形態に係るデータ通信ネットワークシステムの構成を示す図である。図1のデータ通信ネットワークシステムは、通信端末1がネットワーク2を介して通信端末3とパケット通信を行うことができるよう構成されている。
FIG. 1 is a diagram showing a configuration of a data communication network system according to an embodiment of the present invention. The data communication network system of FIG. 1 is configured such that the
通信端末1は、ネットワークアプリケーション11を含むユーザモジュール(図示せず)と、TCP(Transmission Control Protocol)/UDP(User Datagram Protocol)スタック12及びIP(Internet Protocol)スタック13を含むプロトコルスタックモジュール(図示せず)と、を含むように構成されている。ユーザモジュール及びプロトコルスタックモジュールは、ソフトウェア単体として構成することも、ソフトウェアとハードウェアとの組合せとして構成することもできる。また、通信端末1は、ネットワーク2との接続を行う物理デバイス(図示せず)を制御するネットワークデバイスドライバ14と、後でより詳細に説明するプロトコル遅延測定装置100と、をさらに含むように構成されている。
The
IPスタック13は、IPsec(Internet Protocol Security)処理15を含む。IPsec処理15は、送信データパケット及び受信データパケットにIPパケット単位で適用される暗号化処理(暗号化及び復号化を含む)であり、データの改ざん防止・秘匿機能を提供するものである。本実施の形態においては、IPsec処理15がプロトコル遅延の測定対象である。
The
通信端末3は、ネットワークアプリケーション31を含むユーザモジュール(図示せず)と、TCP(Transmission Control Protocol)/UDP(User Datagram Protocol)スタック32及びIP(Internet Protocol)スタック33を含むプロトコルスタックモジュール(図示せず)と、を含むように構成されている。ユーザモジュール及びプロトコルスタックモジュールは、ソフトウェア単体として構成することも、ソフトウェアとハードウェアとの組合せとして構成することもできる。また、通信端末3は、ネットワーク2との接続を行う物理デバイス(図示せず)を制御するネットワークデバイスドライバ34をさらに含むように構成されている。
The
なお、本実施の形態では、プロトコル遅延測定装置100が通信端末1にのみ設けられているが、通信端末3にも設けてもよい。また、本実施の形態では、プロトコル遅延測定装置100が通信端末1と一体として実施されているが、これらを別体として実施し必要時にのみプロトコル遅延測定装置100を通信端末1、3に接続するようにしてもよい。
In this embodiment, the protocol
図2は、プロトコル遅延測定装置100の内部構成を示すブロック図である。プロトコル遅延測定装置100は、インターセプト部102、認識処理部104、タイムスタンプデータベース(以下「タイムスタンプDB」という。)106、相関処理部108、算出処理部110及び統計データベース(以下「統計DB」という。)を有する。
FIG. 2 is a block diagram showing an internal configuration of the protocol
インターセプト部102は、通信端末1において処理される送信データパケット又は受信データパケットを、カーネル層に設けられたインターセプトポイント16、17、18、19にてインターセプトする。インターセプトポイント16〜19は、例えばLinux(登録商標)ネットフィルタモジュールにより提供されるNF_IP_LOCAL_OUT、NF_IP_POSTROUTING、NF_IP_LOCAL_IN及びNF_IP_PRE_ROUTINGといったフックポイントである。インターセプト部102によるインターセプトは、上記各フックポイントについてインターセプト機能をLinux(登録商標)ネットフィルタモジュールに登録することにより、実現可能である。インターセプトポイント16〜19が、例えば上記各フックポイントのように、IPsec処理15の直前又は直後に配置されたものである場合は、プロトコル遅延を正確に測定することができる。
The
インターセプト部102は、インターセプトポイント16にて、未だIPsec処理15を適用されていない送信データパケットをインターセプトし、インターセプトポイント17にて、既にIPsec処理15を適用されている送信データパケットをインターセプトし、インターセプトポイント18にて、未だIPsec処理15を適用されていない受信データパケットをインターセプトし、インターセプトポイント19にて、既にIPsec処理15を適用されている受信データパケットをインターセプトする。また、インターセプト部102は、インターセプトポイント16でインターセプトしたデータパケットを、インターセプトポイント16に返戻し、インターセプトポイント17でインターセプトしたデータパケットを、インターセプトポイント17に返戻し、インターセプトポイント18でインターセプトしたデータパケットを、インターセプトポイント18に返戻し、インターセプトポイント19でインターセプトしたデータパケットを、インターセプトポイント19に返戻する。
The
インターセプトされるデータパケットは、通信端末1に設けられたバッファに格納されている。図3には、そのバッファの一例として、ソケットバッファ40の構成が示されている。ソケットバッファ40は、TCP/UDPスタック12及びIPスタック13で処理されるデータパケットと、その処理の管理・制御に用いる各種の情報とを格納するバッファであり、例えばLinux(登録商標)カーネルソケットバッファ(sk_buff)である。本実施の形態では、ソケットバッファ40にはデータパケット50が格納される他、後述する認識情報60が、ソケットバッファ40に格納される。Linux(登録商標)カーネルソケットバッファ(sk_buff)の場合、認識情報60の格納は、認識情報60の値を例えばnfmark又はnfcacheに記録することにより実現可能である。
The intercepted data packet is stored in a buffer provided in the
データパケット50が送信データパケットの場合は、必要なIPsec処理15は暗号化であり、したがって、IPsec処理15を未だ適用されていない送信データパケットは、図4(a)に示すようにIPヘッダ51と非暗号化データ52とを有する非暗号化データパケット50aであり、IPsec処理15を既に適用されている送信データパケットは、図4(b)に示すようにIPヘッダ51と暗号化データ53とを有する暗号化データパケット50bである。一方、データパケット50が受信データパケットの場合は、必要なIPsec処理15は復号化であり、したがって、IPsec処理15を未だ適用されていない受信データパケットは、暗号化データパケット50bであり、IPsec処理15を既に適用されている受信データパケットは、非暗号化データパケット50aである。
When the data packet 50 is a transmission data packet, the
IPヘッダ51は、図4(c)に示すように、パケット長54、プロトコル情報55及びフラグ56をそれぞれ表示するフィールドを有する。パケット長54は、データパケット50の全体の長さを示すものであり、プロトコル情報55は、データパケット50が非暗号化データパケット50aであるか暗号化データパケット50bであるかを判断するのに用いる情報である。データパケット50が暗号化データパケット50bである場合には、IPヘッダ51には、プロトコル情報55として、IPセキュリティプロトコル(例えば、AH(Authentication Header)プロトコル、ESP(Encapsulating Security Payload)プロトコル)の表示が含まれる。フラグ56は、フラグメント化されたデータパケットに関して「0」又は「1」に設定されるフラグである。例えば、後続のフラグメントが存在し、当該データパケットが最終データパケットでないことを、フラグ56を「0」に設定することによって示し、後続のフラグメントが存在せず、当該データパケットが最終データパケットであることを、フラグ56を「1」に設定することによって示す。
As shown in FIG. 4C, the
識別子生成手段、書き込み手段及びタイムスタンプ生成手段としての認識処理部104は、プロトコル遅延測定プログラムを記憶装置(図示せず)に記憶し、これをCPU(図示せず)で実行することにより実現される。認識処理部104は、インターセプトされたデータパケットに対して認識処理を実行し、認識処理により認識情報を生成してこれをソケットバッファ40に書き込み、また、認識処理によりタイムスタンプ等を含むタイムスタンプレコードを生成してこれをタイムスタンプDB106に記憶させる。認識処理については、後でより具体的に説明する。
The
ここで、図5に示すように、認識情報60は、トラックマーク61及びインデックス番号62を含む。
Here, as shown in FIG. 5, the
トラックマーク61は、データパケット50がプロトコル遅延測定のための処理を施されているか否かを判断するのに用いられる情報であり、例えば「AA55」のような定数であってもよいし、例えば「4000」のようなフラグであってもよい。トラックマーク61は、異なるストリームに属するデータパケット50にも同じ値のトラックマーク61が付される。
The
インデックス番号62は、タイムスタンプDB106において検索を行う際に用いられる、データパケット50の識別子としての情報である。例えば、同じストリームに属するデータパケット50には同じ値のインデックス番号62が付され、異なるストリームに属するデータパケット50には、例えば「1111」、「2222」のように、異なる値のインデックス番号62が付される。これにより、通信端末1で複数のストリームを同時に収容する場合にも、それぞれのストリームについてプロトコル遅延測定を行うことができる。
The
トラックマーク61及びインデックス番号62はいずれも、複雑な演算を全く伴わない単純な処理により生成可能なデータであるため、CPU負荷を増加させることはない。
Since both the
また、タイムスタンプDB106に記憶されるタイムスタンプレコードは、図6に示すように、インデックス番号71と第1タイムスタンプ72と非暗号化パケットサイズ73とをそれぞれ示すフィールドを含むタイムスタンプデータフォーマット70を有する。インデックス番号71は、インデックス番号62と同一である。第1タイムスタンプ72は、IPsec処理15の適用開始タイミングを規定するタイムスタンプである。非暗号化パケットサイズ73は、非暗号化データパケット50aの全体の長さを示すものである。
Further, as shown in FIG. 6, the time stamp record stored in the
タイムスタンプDB106は、認識処理で得られたタイムスタンプレコードを記憶する記憶装置により構成される。
The
読み出し手段、抽出手段及びタイムスタンプ生成手段としての相関処理部108は、プロトコル遅延測定プログラムを記憶装置(図示せず)に記憶し、これをCPU(図示せず)で実行することにより実現される。相関処理部108は、インターセプトされたデータパケットに対して相関処理を実行し、相関処理により第2タイムスタンプを生成する。第2タイムスタンプは、後述する算出処理に用いられる。相関処理については、後でより具体的に説明する。
The
算出手段としての算出処理部110は、プロトコル遅延測定プログラムを記憶装置(図示せず)に記憶し、これをCPUで実行することにより実現される。算出処理部110は、第1タイムスタンプと第2タイムスタンプとの差分を算出することによりプロトコル遅延を測定する算出処理を実行し、その測定結果を示す統計レコードを生成してこれを統計DB112に記憶させる。算出処理については、後でより具体的に説明する。
The
統計DB112は、プロトコル遅延測定結果を示す統計レコードを記憶する記憶装置により構成される。統計DB112は、処理パフォーマンスの評価が行われる場合等に、内部に記憶されている統計レコードを送出することにより、プロトコル遅延測定結果を報告することができる。
The
ここで、統計DB112に記憶される統計レコードは、図7に示すように、インデックス番号81と経過時間82と合計パケットサイズ83とをそれぞれ示すフィールドを含む統計データフォーマット80を有する。インデックス番号81は、インデックス番号62、71と同一である。経過時間82は、第2タイムスタンプの値から第1タイムスタンプの値を減算することにより得られる値(フラグメントの場合は、その累計)であり、プロトコル遅延の値に相当する。合計パケットサイズ83は、同じインデックス番号81を付され、経過時間82の算出に用いられたパケットのサイズ(フラグメントの場合は、その累計)である。
Here, the statistical record stored in the
以下、認識処理部104による認識処理と相関処理部108による相関処理と算出処理部110による算出処理とを含む、プロトコル遅延測定のための一連の処理について、2つのケースに大別して説明する。第1のケースでは、送信データパケットに適用されるIPsec処理15、つまり暗号化によるプロトコル遅延が測定され、第2のケースでは、受信データパケットに適用されるIPsec処理15、つまり復号化によるプロトコル遅延が測定される。
In the following, a series of processing for protocol delay measurement including recognition processing by the
先ず、第1のケースについて説明する。図8は、第1のケースにおける処理フローを示す図である。送信データパケットは、経路90を辿って上位層から下位層に送られる途中で、2度にわたってインターセプトされる。1度目のインターセプトは暗号化前に行われる。より具体的には、送信データパケットは、暗号化前に、インターセプトポイント16でインターセプトされ、プロトコル遅延測定装置100において処理され、インターセプトポイント16に戻される(インターセプト経路91)。2度目のインターセプトは暗号化後に行われる。より具体的には、送信データパケットは、暗号化後に、インターセプトポイント17でインターセプトされ、プロトコル遅延測定装置100において処理され、インターセプトポイント17に戻される(インターセプト経路92)。
First, the first case will be described. FIG. 8 is a diagram showing a processing flow in the first case. The transmission data packet is intercepted twice while being sent from the upper layer to the lower layer along the
インターセプト経路91を辿る送信データパケット、すなわち非暗号化データパケットに対しては、プロトコル遅延測定装置100において、図9に示されるように、認識処理部104による認識処理を含む動作が実行される。
For a transmission data packet that follows the
図9は、インターセプト経路91を辿る非暗号化データパケットについての、プロトコル遅延測定装置100における動作を説明するためのフロー図である。
FIG. 9 is a flowchart for explaining the operation in the protocol
先ず、ステップS101では、インターセプト部102は、インターセプトポイント16からデータパケットをインターセプトする。これは、例えばプロトコル遅延測定の要求を受けたときに開始される。
First, in step S <b> 101, the
なお、本実施の形態では、インターセプト部102は、インターセプトポイント16にて暗号化前の送信データパケットのみをインターセプトするよう構成されているが、インターセプトポイント16にて暗号化後のものもインターセプトし得る場合には、インターセプト部102は、ソケットバッファに格納されたデータパケットのプロトコル情報を参照することにより、データパケットが暗号化前のものか暗号化後のものかを判定することができる。
In the present embodiment, the
そしてステップS102では、認識処理部104は、タイムスタンプ(第1タイムスタンプ)を生成すると共に、インターセプトされた非暗号化データパケットの識別子としてインデックス番号を生成する。このように、IPsec処理適用前の非暗号化データパケットがインターセプトされたタイミングに合わせて第1タイムスタンプが生成されるため、IPsec処理適用開始タイミングをより正確に特定することができ、ひいてはプロトコル遅延の測定精度を向上させることができる。
In step S102, the
そしてステップS103では、認識処理部104は、予め定められたトラックマークと、生成されたインデックス番号とを組み合わることにより、認識情報を生成する。図11(a)に、生成される認識情報の一例を示す。
In step S103, the
そしてステップS104では、認識処理部104は、生成された認識情報をソケットバッファに書き込む。
In step S104, the
そしてステップS105では、認識処理部104は、ソケットバッファに格納されたデータパケットのIPヘッダ内のパケット長を読み出すことにより、非暗号化データパケットのパケットサイズを取得する。
In step S105, the
そしてステップS106では、認識処理部104は、予め定められたタイムスタンプデータフォーマットにおいて、生成されたインデックス番号をインデックス番号フィールドに、生成された第1タイムスタンプを第1タイムスタンプフィールドに、取得されたパケットサイズを非暗号化パケットサイズフィールドに、それぞれ設定することにより、タイムスタンプレコードを生成する。図11(b)に、生成されるタイムスタンプレコードの一例を示す。そして、認識処理部104は、生成されたタイムスタンプレコードをタイムスタンプDB106に記憶させることにより、新規のレコードをタイムスタンプDB106に追加する。
In step S106, the
そしてステップS107では、インターセプト部102は、ステップS101でインターセプトされた非暗号化データパケットを、インターセプトポイント16に返戻する。返戻された非暗号化データパケットは、IPsec処理15に送られ、そこで暗号化されて、暗号化データパケットとなる。
In step S107, the
このように、送信データパケットがIPsec処理15を適用される前にインターセプト経路91を辿った結果として、IPsec処理15の適用開始タイミングを特定するタイムスタンプが取得され、さらに、その送信データパケットの認識情報が、その送信データパケットのソケットバッファに格納される。
As described above, as a result of the transmission data packet following the
インターセプト経路92を辿る送信データパケット、すなわち暗号化データパケットに対しては、プロトコル遅延測定装置100において、図10に示されるように、相関処理部108による相関処理と算出処理部110による算出処理とを含む動作が実行される。
For a transmission data packet that follows the
図10は、インターセプト経路92を辿る暗号化データパケットについての、プロトコル遅延測定装置100における動作を説明するためのフロー図である。
FIG. 10 is a flowchart for explaining the operation in the protocol
先ず、ステップS201では、インターセプト部102は、インターセプトポイント17からデータパケットをインターセプトする。これは、図9を用いて説明した動作と同様、プロトコル遅延測定の要求を受けたときに開始される。
First, in step S <b> 201, the
なお、本実施の形態では、インターセプト部102は、インターセプトポイント17にて暗号化後の送信データパケットのみをインターセプトするよう構成されているが、インターセプトポイント17にて暗号化前のものもインターセプトし得る場合には、インターセプト部102は、ソケットバッファに格納されたデータパケットのプロトコル情報を参照することにより、データパケットが暗号化前のものか暗号化後のものかを判定することができる。
In the present embodiment, the
そしてステップS202では、相関処理部108は、インターセプトされた暗号化データパケットのソケットバッファにおいて、所定の記憶領域の設定値が予め定められた値に設定されているか否かを判定することにより、トラックマークの有無を判定する。トラックマークがある場合は、ステップS203に進み、トラックマークがない場合は、ステップS210に進む。このように、予め定められた値を有するトラックマークの有無の判定を行うことにより、認識情報の有無を容易に確認することができる。
In step S202, the
ステップS203では、相関処理部108は、ソケットバッファからインデックス番号を読み出す。このインデックス番号は、図9を用いて説明した動作において、IPsec処理適用前の非暗号化データパケットについて生成されたものである。非暗号化データパケットは、IPsec処理15を適用されると、暗号化データパケットとなるのに対し、ソケットバッファに格納された認識情報はIPsec処理適用後も不変のまま維持されるものであるため、暗号化データパケットのソケットバッファから読み出されたインデックス番号は、その暗号化データパケットが暗号化される前に生成されたインデックス番号と同一である。したがって、相関処理部108は、ソケットバッファに格納されたインデックス番号を、暗号化データパケットのインデックス番号として取得することができる。
In step S203, the
そしてステップS204では、相関処理部108は、読み出されたインデックス番号を検索条件として用いて、タイムスタンプDB106においてタイムスタンプレコードの検索を行う。具体的には、相関処理部108は、タイムスタンプDB106に記憶された少なくとも1つのタイムスタンプレコードのうち、読み出されたインデックス番号と同一のインデックス番号を有するものを検索する。検索の結果、そのようなタイムスタンプレコードが、タイムスタンプDB106において特定された場合には、ステップS205に進み、タイムスタンプDB106において特定されなかった場合には、ステップS209に進む。
In step S204, the
そしてステップS205では、相関処理部108は、特定されたタイムスタンプレコードを読み出すことにより、タイムスタンプDB106から第1タイムスタンプと非暗号化パケットサイズとを抽出し、これらを算出処理部110に通知する。好ましくはこのとき、相関処理部108は、読み出されたタイムスタンプをタイムスタンプDB106から削除する。これにより、タイムスタンプDB106に割り当てられる記憶領域を効率的に使用することができる。
In step S205, the
そしてステップS206では、相関処理部108は、第2タイムスタンプを生成し、これを算出処理部110に通知する。図11(c)に、生成される第2タイムスタンプの一例を示す。このように、IPsec処理適用後の暗号化データパケットがインターセプトされたタイミングに合わせて第2タイムスタンプが生成されるため、IPsec処理適用終了タイミングをより正確に特定することができ、ひいてはプロトコル遅延の測定精度を向上させることができる。
In step S206, the
そしてステップS207では、算出処理部110は、第1タイムスタンプと第2タイムスタンプとの差分を算出する。第1タイムスタンプはIPsec処理適用開始タイミングを特定するものであり、第2タイムスタンプはIPsec処理適用終了タイミングを特定するものであるため、算出された差分は、IPsec処理15の適用開始から適用終了までの経過時間に相当する。
In step S207, the
そしてステップS208では、算出処理部110は、予め定められた統計データフォーマットにおいて、通知されたインデックス番号をインデックス番号フィールドに、算出された経過時間を経過時間フィールドに、通知された非暗号化パケットサイズを合計パケットサイズフィールドに、それぞれ設定することにより、統計レコードを生成する。図11(d)に、生成される統計レコードの一例を示す。なお、例えば同じインデックス番号を有する統計レコードが既に統計DB112に記憶されている場合等、経過時間を合算する必要がある場合は、統計DB112に記憶されている統計レコードの経過時間及び合計パケットサイズを読み出し、これらに、算出された経過時間及び通知された非暗号化パケットサイズを合算することにより、統計レコードを生成する。そして、算出処理部110は、生成された統計レコードを統計DB112に記憶させることにより、統計DB112を更新する。
In step S208, the
そしてステップS209では、インターセプト部102は、ステップS201でインターセプトされた暗号化データパケットを、インターセプトポイント17に返戻する。返戻された暗号化データパケットは、ネットワークデバイスドライバ14に送られる。
In step S209, the
このように、送信データパケットがIPsec処理15を適用された後にインターセプト経路92を辿った結果として、IPsec処理15の適用終了タイミングを特定するタイムスタンプが取得され、さらに、その送信データパケットの認識情報が、その送信データパケットのソケットバッファから取得される。
As described above, as a result of the transmission data packet following the
既述の通り、送信データパケットの認識情報は、その送信データパケットがIPsec処理15を適用されても不変であるため、送信データパケットを容易に同定することができる。
As described above, the transmission data packet recognition information does not change even if the transmission data packet is applied with the
ここで、インターセプトポイント16からインターセプトされた送信データパケットが、MTU(Maximum Transmission Unit)よりも大きいパケットサイズを有する場合について、説明する。
Here, a case where the transmission data packet intercepted from the
MTUよりも大きいサイズを有する送信データパケットは、IPsec処理適用前にフラグメント化される。そこで、本実施の形態では、インターセプト部102は、MTUよりも大きいサイズを有する送信データパケットについては、フラグメント化の前にインターセプトする。また、これを実現し得る位置に、インターセプトポイント16が配置される。これにより、大サイズの送信データパケットについて、IPsec処理適用開始タイミングを特定する第1タイムスタンプを無駄なく1つだけ生成することができ、また、認識情報及びタイムスタンプレコードも無駄なく1つずつだけ生成することができる。図12(a)及び図12(b)に、認識情報及びタイムスタンプレコードの一例を示す。
Transmission data packets having a size larger than the MTU are fragmented before application of IPsec processing. Therefore, in the present embodiment, intercepting
1つの非暗号化データパケットをフラグメント化することにより得られるN個(Nは2以上の整数)のフラグメントは、IPsec処理15の適用後、N個の暗号化データパケットとなる。これらの暗号化データパケットは、インターセプトポイント17から順次インターセプトされる。
N fragments (N is an integer of 2 or more) obtained by fragmenting one non-encrypted data packet become N encrypted data packets after application of the
相関処理部108は、順次インターセプトされたN個の暗号化データパケットに対して個々に第2タイムスタンプを生成する。例えば、N=4の場合は、図12(c)に示すように、4つの第2タイムスタンプが生成される。
The
相関処理部108は、第2タイムスタンプの生成に並行して、順次インターセプトされた個々の暗号化データパケットが、最終パケットであるか否かを判定する。この判定には、パケットサイズを判定基準とするものや、フラグを判定基準とするもの等がある。
In parallel with the generation of the second time stamp, the
前者の場合は、相関処理部108は、順次インターセプトされた個々の暗号化データパケットのサイズを順次測定し、これを順次積算する。そして、積算値が、タイムスタンプDB106から抽出された非暗号化パケットサイズに到達したときに、最後に積算された暗号化データパケットを最終パケットと判定することができる。
In the former case, the
後者の場合は、相関処理部108は、順次インターセプトされた個々の暗号化データパケットのフラグを参照する。そして、後続パケットがなく最終パケットである旨を示すフラグが立っている暗号化データパケットを最終パケットと判定することができる。
In the latter case, the
相関処理部108は、最終パケットが特定されたとき、その最終パケットがインターセプトされたときに生成された第2タイムスタンプを算出処理部110に通知する。よって、算出処理部110は、N個の第2タイムスタンプが生成されていても、図12(d)に示すように経過時間を1回算出するだけで、N個のセグメント化データパケットについてのプロトコル遅延の測定を完了することができる。
When the final packet is specified, the
なお、算出処理部110は、N個の第2タイムスタンプの全てが通知された場合でも、どの第2タイムスタンプが最終パケットのものであるかが相関処理部108から通知されれば、N個のセグメント化データパケットについてのプロトコル遅延の測定を行うことができ、また、最終パケットの第2タイムスタンプのみが通知された場合と同じタイミングで、プロトコル遅延の測定を完了することができる。
Note that even when all of the N second time stamps have been notified, the
また、N個のセグメント化データパケットについてのプロトコル遅延を測定する場合には、図10を用いて説明した動作のステップS207において、第1タイムスタンプと第2タイムスタンプとの差分を算出するのに加えて、連続してインターセプトされた2つのセグメント化データパケットについてそれぞれ生成された第2タイムスタンプの差分を算出し、これを積算してもよい。N=4の場合を例にとり、図12(e)を用いて説明する。1番目のセグメント化データパケットについては、当該パケットについての第2タイムスタンプと、第1タイムスタンプとの差分(432)を算出し、この算出結果を新規レコードとして統計DB112に保持させる。2番目のセグメント化データパケットについては、当該パケットについての第2タイムスタンプと、1番目のセグメント化データパケットについての第2タイムスタンプとの差分(424)を算出し、これを積算し(432+424=856)、この算出結果によりレコードを更新する。3番目のセグメント化データパケットについては、当該パケットについての第2タイムスタンプと、2番目のセグメント化データパケットについての第2タイムスタンプとの差分(432)を算出し、これを積算し(856+432=1288)、この算出結果によりレコードを更新する。4番目のセグメント化データパケットについては、当該データパケットについての第2タイムスタンプと、3番目のセグメント化データパケットについての第2タイムスタンプとの差分(428)を算出し、これを積算し(1288+428=1716)、この算出結果によりレコードを更新する。4番目のセグメント化データパケットが最終パケットであることが相関処理部108から通知されたとき、算出処理部110は、これらのセグメント化データパケットについてのプロトコル遅延の測定を完了することができる。
Also, when measuring the protocol delay for N segmented data packets, the difference between the first time stamp and the second time stamp is calculated in step S207 of the operation described with reference to FIG. In addition, the difference between the second time stamps generated for each of the two segmented data packets intercepted in succession may be calculated and integrated. The case where N = 4 will be described as an example with reference to FIG. For the first segmented data packet, the difference (432) between the second time stamp and the first time stamp for the packet is calculated, and this calculation result is stored in the
次いで、第2のケースについて説明する。図13は、第2のケースにおける処理フローを示す図である。受信データパケットは、経路95を辿って下位層から上位層に送られる途中で、2度にわたってインターセプトされる。1度目のインターセプトは復号化前に行われる。より具体的には、受信データパケットは、復号化前に、インターセプトポイント18でインターセプトされ、プロトコル遅延測定装置100において処理され、インターセプトポイント18に戻される(インターセプト経路96)。2度目のインターセプトは復号化後に行われる。より具体的には、受信データパケットは、復号化後に、インターセプトポイント19でインターセプトされ、プロトコル遅延測定装置100において処理され、インターセプトポイント19に戻される(インターセプト経路97)。
Next, the second case will be described. FIG. 13 is a diagram illustrating a processing flow in the second case. The received data packet is intercepted twice while being sent from the lower layer to the upper layer along the
インターセプト経路96を辿る受信データパケット、すなわち暗号化データパケットに対しては、プロトコル遅延測定装置100において、図14に示されるように、認識処理部104による認識処理を含む動作が実行される。
For the received data packet that follows the
図14は、インターセプト経路96を辿る暗号化データパケットについての、プロトコル遅延測定装置100における動作を説明するためのフロー図である。
FIG. 14 is a flowchart for explaining the operation in the protocol
先ず、ステップS301では、インターセプト部102は、インターセプトポイント18からデータパケットをインターセプトする。これは、例えばプロトコル遅延測定の要求を受けたときに開始される。
First, in step S <b> 301, the
なお、本実施の形態では、インターセプト部102は、インターセプトポイント18にて復号化前の受信データパケットのみをインターセプトするよう構成されているが、インターセプトポイント18にて復号化後のものもインターセプトし得る場合には、インターセプト部102は、ソケットバッファに格納されたデータパケットのプロトコル情報を参照することにより、データパケットが復号化前のものか復号化後のものかを判定することができる。
In the present embodiment,
そしてステップS302では、認識処理部104は、タイムスタンプ(第1タイムスタンプ)を生成すると共に、インターセプトされた暗号化データパケットの識別子としてインデックス番号を生成する。このように、IPsec処理適用前の暗号化データパケットがインターセプトされたタイミングに合わせて第1タイムスタンプが生成されるため、IPsec処理適用開始タイミングをより正確に特定することができ、ひいてはプロトコル遅延の測定精度を向上させることができる。
In step S302, the
そしてステップS303では、認識処理部104は、予め定められたトラックマークと、生成されたインデックス番号とを組み合わることにより、認識情報を生成する。図16(a)に、生成される認識情報の一例を示す。
In step S303, the
そしてステップS304では、認識処理部104は、生成された認識情報をソケットバッファに書き込む。
In step S304, the
そしてステップS305では、認識処理部104は、予め定められたタイムスタンプデータフォーマットにおいて、生成されたインデックス番号をインデックス番号フィールドに、生成された第1タイムスタンプを第1タイムスタンプフィールドに、それぞれ設定することにより、タイムスタンプレコードを生成する。図16(b)に、生成されるタイムスタンプレコードの一例を示す。そして、認識処理部104は、生成されたタイムスタンプレコードをタイムスタンプDB106に記憶させることにより、新規のレコードをタイムスタンプDB106に追加する。
In step S305, the
そしてステップS306では、インターセプト部102は、ステップS301でインターセプトされた暗号化データパケットを、インターセプトポイント18に返戻する。返戻された暗号化データパケットは、IPsec処理15に送られ、そこで復号化されて、非暗号化データパケットとなる。
In step S306, the
このように、受信データパケットがIPsec処理15を適用される前にインターセプト経路96を辿った結果として、IPsec処理15の適用開始タイミングを特定するタイムスタンプが取得され、さらに、その受信データパケットの認識情報が、その受信データパケットのソケットバッファに格納される。
As described above, as a result of the received data packet following the
インターセプト経路97を辿る受信データパケット、すなわち非暗号化データパケットに対しては、プロトコル遅延測定装置100において、図15に示されるように、相関処理部108による相関処理と算出処理部110による算出処理とを含む動作が実行される。
For the received data packet that follows the
図15は、インターセプト経路97を辿る暗号化データパケットについての、プロトコル遅延測定装置100における動作を説明するためのフロー図である。
FIG. 15 is a flowchart for explaining the operation in the protocol
先ず、ステップS401では、インターセプト部102は、インターセプトポイント19からデータパケットをインターセプトする。これは、図14を用いて説明した動作と同様、プロトコル遅延測定の要求を受けたときに開始される。
First, in step S <b> 401, the
なお、本実施の形態では、インターセプト部102は、インターセプトポイント19にて復号化後の受信データパケットのみをインターセプトするよう構成されているが、インターセプトポイント19にて復号化前のものもインターセプトし得る場合には、インターセプト部102は、ソケットバッファに格納されたデータパケットのプロトコル情報を参照することにより、データパケットが復号化前のものか復号化後のものかを判定することができる。
In the present embodiment, the
そしてステップS402では、相関処理部108は、インターセプトされた非暗号化データパケットのソケットバッファにおいて、所定の記憶領域の設定値が予め定められた値に設定されているか否かを判定することにより、トラックマークの有無を判定する。トラックマークがある場合は、ステップS403に進み、トラックマークがない場合は、ステップS410に進む。このように、予め定められた値を有するトラックマークの有無の判定を行うことにより、認識情報の有無を容易に確認することができる。
In step S402, the
ステップS403では、相関処理部108は、ソケットバッファからインデックス番号を読み出す。このインデックス番号は、図15を用いて説明した動作において、IPsec処理適用前の暗号化データパケットについて生成されたものである。暗号化データパケットは、IPsec処理15を適用されると、非暗号化データパケットとなるのに対し、ソケットバッファに格納された認識情報はIPsec処理適用後も不変のまま維持されるものであるため、非暗号化データパケットのソケットバッファから読み出されたインデックス番号は、その非暗号化データパケットが復号化される前に生成されたインデックス番号と同一である。したがって、相関処理部108は、ソケットバッファに格納されたインデックス番号を、非暗号化データパケットのインデックス番号として取得することができる。
In step S403, the
そしてステップS404では、相関処理部108は、読み出されたインデックス番号を検索条件として用いて、タイムスタンプDB106においてタイムスタンプレコードの検索を行う。具体的には、相関処理部108は、タイムスタンプDB106に記憶された少なくとも1つのタイムスタンプレコードのうち、読み出されたインデックス番号と同一のインデックス番号を有するものを検索する。検索の結果、そのようなタイムスタンプレコードが、タイムスタンプDB106において特定された場合には、ステップS405に進み、タイムスタンプDB106において特定されなかった場合には、ステップS410に進む。
In step S404, the
そしてステップS405では、相関処理部108は、特定されたタイムスタンプレコードを読み出すことにより、タイムスタンプDB106から第1タイムスタンプを抽出し、これらを算出処理部110に通知する。好ましくはこのとき、相関処理部108は、読み出されたタイムスタンプをタイムスタンプDB106から削除する。これにより、タイムスタンプDB106に割り当てられる記憶領域を効率的に使用することができる。
In step S405, the
そしてステップS406では、相関処理部108は、第2タイムスタンプを生成し、これを算出処理部110に通知する。図16(c)に、生成される第2タイムスタンプの一例を示す。このように、IPsec処理適用後の非暗号化データパケットがインターセプトされたタイミングに合わせて第2タイムスタンプが生成されるため、IPsec処理適用終了タイミングをより正確に特定することができ、ひいてはプロトコル遅延の測定精度を向上させることができる。
In step S406, the
そしてステップS407では、算出処理部110は、第1タイムスタンプと第2タイムスタンプとの差分を算出する。第1タイムスタンプはIPsec処理適用開始タイミングを特定するものであり、第2タイムスタンプはIPsec処理適用終了タイミングを特定するものであるため、算出された差分は、IPsec処理15の適用開始から適用終了までの経過時間に相当する。
In step S407, the
そしてステップS408では、認識処理部104は、ソケットバッファに格納されたデータパケットのIPヘッダ内のパケット長を読み出すことにより、非暗号化データパケットのパケットサイズを取得し、これを算出処理部110に通知する。
In step S408, the
そしてステップS409では、算出処理部110は、予め定められた統計データフォーマットにおいて、通知されたインデックス番号をインデックス番号フィールドに、算出された経過時間を経過時間フィールドに、通知された非暗号化パケットサイズを合計パケットサイズフィールドに、それぞれ設定することにより、統計レコードを生成する。図16(d)に、生成される統計レコードの一例を示す。なお、例えば同じインデックス番号を有する統計レコードが既に統計DB112に記憶されている場合等、経過時間を合算する必要がある場合は、統計DB112に記憶されている統計レコードの経過時間及び合計パケットサイズを読み出し、これらに、算出された経過時間及び通知された非暗号化パケットサイズを合算することにより、統計レコードを生成する。そして、算出処理部110は、生成された統計レコードを統計DB112に記憶させることにより、統計DB112を更新する。
In step S409, the
そしてステップS410では、インターセプト部102は、ステップS401でインターセプトされた非暗号化データパケットを、インターセプトポイント19に返戻する。返戻された非暗号化データパケットは、TCP/UDPスタック12に送られる。
In step S410, the
このように、受信データパケットがIPsec処理15を適用された後にインターセプト経路97を辿った結果として、IPsec処理15の適用終了タイミングを特定するタイムスタンプが取得され、さらに、その受信データパケットの認識情報が、その受信データパケットのソケットバッファから取得される。
As described above, as a result of tracing the
既述の通り、受信データパケットの認識情報は、その受信データパケットがIPsec処理15を適用されても不変であるため、受信データパケットを容易に同定することができる。
As described above, since the received data packet recognition information is unchanged even when the received data packet is applied with the
なお、インターセプトポイント18からインターセプトされた受信データパケットがフラグメントである場合、このフラグメントは、IPスタック13においてIPsec処理後に他のフラグメントと結合される。そこで、本実施の形態では、インターセプト部102は、フラグメント化された受信データパケットについては、結合後にインターセプトする。また、これを実現し得る位置に、インターセプトポイント19が配置される。これにより、フラグメント化された受信データパケットについて、IPsec処理適用終了タイミングを特定する第2タイムスタンプを無駄なく1つだけ生成することができる。
When the received data packet intercepted from the
以上のように、本実施の形態によれば、IPsec処理適用前のデータパケットのインデックス番号を生成し、生成したインデックス番号を、IPsec処理適用前後で同一に維持するソケットバッファの領域に格納する。したがって、インデックス番号の生成においては、IPsec処理15の影響を全く考慮する必要がないため、複雑な演算を行うことなく非常に容易に生成し得ることとなり、プロトコル遅延測定に伴う処理オーバヘッド増加を抑制することができる。これにより、ユーザは、リアルタイムで通信状況を把握し、様々な利用状況や利用環境に応じたQoS(Quality of Service)制御を実施するのに不可欠な測定情報を通信端末内で取得することができる。
As described above, according to the present embodiment, an index number of a data packet before application of IPsec processing is generated, and the generated index number is stored in a socket buffer area that is maintained the same before and after application of IPsec processing. Therefore, since it is not necessary to consider the influence of the
以上、本発明の実施の形態について説明した。なお、以上の説明は本発明の好適な実施の形態の例証であり、本発明はこれに限定されるべきものでなく、種々変更して実施することが可能である。 The embodiment of the present invention has been described above. The above description is an illustration of a preferred embodiment of the present invention, and the present invention should not be limited to this, and can be implemented with various modifications.
本発明のプロトコル遅延測定装置及びプロトコル遅延測定方法は、プロトコル遅延測定に伴う通信端末の処理オーバヘッド増加を抑制することができる効果を有し、暗号化通信環境においてプロトコル遅延を測定する装置及び方法として有用である。 The protocol delay measuring apparatus and the protocol delay measuring method of the present invention have an effect capable of suppressing an increase in processing overhead of a communication terminal due to protocol delay measurement, and are an apparatus and method for measuring a protocol delay in an encrypted communication environment. Useful.
12 TCP/UDPスタック
13 IPスタック
14 ネットワークデバイスドライバ
15 IPsec処理
16、17、18、19 インターセプトポイント
40 ソケットバッファ
100 プロトコル遅延測定装置
102 インターセプト部
104 認識処理部
106 タイムスタンプDB
108 相関処理部
110 算出処理部
112 統計DB
12 TCP /
108
Claims (6)
未処理パケット及び処理済パケットをインターセプトするインターセプト手段と、
前記未処理パケットがインターセプトされたときに第1のタイムスタンプを生成し、前記処理済パケットがインターセプトされたときに第2のタイムスタンプを生成するタイムスタンプ生成手段と、
前記未処理パケットの識別子を生成する識別子生成手段と、
生成された前記識別子を、前記第1のタイムスタンプと共に記憶するデータベースと、
生成された前記識別子を、前記通信端末においてIPsec処理前後で同一に維持する記憶領域に書き込む書き込み手段と、
前記記憶領域に書き込まれた前記識別子を読み出す読み出し手段と、
読み出された前記識別子と同一の識別子と共に前記データベースに記憶された前記第1のタイムスタンプを抽出する抽出手段と、
抽出された前記第1のタイムスタンプと、前記第2のタイムスタンプとの差分を、プロトコル遅延として算出する算出手段と、
を有するプロトコル遅延測定装置。 A protocol delay measuring device for measuring a protocol delay due to IPsec (Internet Protocol Security) processing in a communication terminal,
Intercepting means for intercepting unprocessed packets and processed packets;
Time stamp generating means for generating a first time stamp when the unprocessed packet is intercepted and generating a second time stamp when the processed packet is intercepted;
An identifier generating means for generating an identifier of the unprocessed packet,
The generated said identifier, a database for storing together with the first time stamp,
The generated said identifier, and writing means for writing to the storage area to maintain the same before and after IPsec processing at the communication terminal,
Reading means for reading the identifier written in the storage area,
Extraction means with read the identifier and the same identifier for extracting said first time stamp stored in said database,
Said first time stamp is extracted, the difference between the second time stamp, and calculating means for calculating as a protocol delay,
A protocol delay measuring device.
前記インターセプト手段は、未処理パケットを、分割前にインターセプトし、得られた複数の処理済パケットを、順次インターセプトし、
前記算出手段は、得られた複数の処理済パケットのうち最終パケットがインターセプトされたときに生成された第2のタイムスタンプを用いて差分を算出することにより、プロトコル遅延の算出を完了する請求項2記載のプロトコル遅延測定装置。 When an unprocessed packet is divided into a plurality of divided packets before IPsec processing, a plurality of processed packets are obtained from the plurality of divided packets by IPsec processing,
The intercepting means intercepts unprocessed packets before dividing, sequentially intercepts a plurality of processed packets obtained,
It said calculation means by calculating the difference using the second time stamp generated when the last packet of the plurality of processed packet obtained is intercepted, completing claim calculation protocol delay 2. The protocol delay measuring device according to 2.
順次インターセプトされた複数の処理済パケットのサイズを、積算値が未処理パケットのサイズに到達するまで順次積算し、最後に積算された処理済パケットを最終パケットを判定する判定手段をさらに有する請求項3記載のプロトコル遅延測定装置。 When the size of the unprocessed packet is larger than the predetermined value, the unprocessed packet is divided into a plurality of divided packets before the IPsec processing,
Claims further comprising determination means for sequentially integrating the sizes of a plurality of processed packets sequentially intercepted until an integrated value reaches a size of an unprocessed packet, and determining a final packet from the last integrated processed packets. 3. The protocol delay measuring device according to 3 .
順次インターセプトされた複数の処理済パケットに含まれるフラグを参照し、最終パケットである旨を示すフラグを有する処理済パケットを最終パケットと判定する判定手段をさらに有する請求項3記載のプロトコル遅延測定装置。 Each of the obtained plurality of processed packets has a flag indicating whether it is the final packet of the obtained plurality of processed packets,
4. The protocol delay measuring device according to claim 3 , further comprising a determination unit that refers to a flag included in a plurality of processed packets sequentially intercepted and determines that a processed packet having a flag indicating that it is a final packet is a final packet. .
未処理パケット及び処理済パケットをインターセプトするステップと、
前記未処理パケットがインターセプトされたときに第1のタイムスタンプを生成し、前記処理済パケットがインターセプトされたときに第2のタイムスタンプを生成するステップと、
前記未処理パケットの識別子を生成する識別子生成ステップと、
生成された前記識別子を、前記第1のタイムスタンプと共にデータベースに記憶させる記憶ステップと、
生成された前記識別子を、前記通信端末においてIPsec処理前後で同一に維持する記憶領域に書き込む書き込みステップと、
前記記憶領域に書き込まれた前記識別子を読み出す読み出しステップと、
読み出された前記識別子と同一の識別子と共に前記データベースに記憶させた前記第1のタイムスタンプを抽出する抽出ステップと、
抽出された前記第1のタイムスタンプと、前記第2のタイムスタンプとの差分を、プロトコル遅延として算出する算出ステップと、
を有するプロトコル遅延測定方法。 A protocol delay measurement method for measuring a protocol delay due to IPsec (Internet Protocol Security) processing in a communication terminal,
Intercepting unprocessed packets and processed packets;
Generating a first time stamp when the unprocessed packet is intercepted and generating a second time stamp when the processed packet is intercepted;
An identifier generating step of generating an identifier of the unprocessed packet,
A storage step of the generated said identifier, to be stored in the database together with the first time stamp,
The generated said identifier, a write step of writing to a storage area to maintain the same before and after IPsec processing at the communication terminal,
A reading step of reading the identifier written in the storage area,
With read the identifier and the same identifier and extracting said first time stamp is stored in the database,
Said first time stamp is extracted, the difference between the second time stamp, a calculation step of calculating as a protocol delay,
A protocol delay measuring method comprising:
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007339861A JP5171245B2 (en) | 2007-12-28 | 2007-12-28 | Protocol delay measuring apparatus and protocol delay measuring method |
EP08865956A EP2247080A1 (en) | 2007-12-28 | 2008-12-15 | Protocol delay measuring device and protocol delay measuring method |
PCT/JP2008/003772 WO2009084166A1 (en) | 2007-12-28 | 2008-12-15 | Protocol delay measuring device and protocol delay measuring method |
US12/808,256 US8711706B2 (en) | 2007-12-28 | 2008-12-15 | Protocol delay measuring device and protocol delay measuring method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007339861A JP5171245B2 (en) | 2007-12-28 | 2007-12-28 | Protocol delay measuring apparatus and protocol delay measuring method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009164742A JP2009164742A (en) | 2009-07-23 |
JP5171245B2 true JP5171245B2 (en) | 2013-03-27 |
Family
ID=40823902
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007339861A Expired - Fee Related JP5171245B2 (en) | 2007-12-28 | 2007-12-28 | Protocol delay measuring apparatus and protocol delay measuring method |
Country Status (4)
Country | Link |
---|---|
US (1) | US8711706B2 (en) |
EP (1) | EP2247080A1 (en) |
JP (1) | JP5171245B2 (en) |
WO (1) | WO2009084166A1 (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI443974B (en) * | 2011-12-07 | 2014-07-01 | Mstar Semiconductor Inc | Packet receiver and packet processing method thereof |
US10037346B1 (en) * | 2012-07-25 | 2018-07-31 | Google Llc | Time reservations for ensuring consistent reads in a distributed database without logging |
KR101974323B1 (en) * | 2013-10-30 | 2019-04-30 | 인텔 코포레이션 | A method, apparatus and system for measuring latency in a physical unit of a circuit |
EP3154225B1 (en) * | 2015-10-08 | 2018-12-26 | ADVA Optical Networking SE | System and method of assessing latency of forwarding data packets in virtual environment |
EP3693859B1 (en) | 2019-02-06 | 2022-04-27 | ADVA Optical Networking SE | Method and system of latency assessment in a packet data network |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0946391A (en) * | 1995-08-01 | 1997-02-14 | Nippon Telegr & Teleph Corp <Ntt> | Method for adding time stamp to data packet |
US6363477B1 (en) * | 1998-08-28 | 2002-03-26 | 3Com Corporation | Method for analyzing network application flows in an encrypted environment |
US7017042B1 (en) * | 2001-06-14 | 2006-03-21 | Syrus Ziai | Method and circuit to accelerate IPSec processing |
JP2003264591A (en) * | 2002-03-12 | 2003-09-19 | Fujitsu Ltd | Method and device for measuring processing delay of atm system |
US20030196081A1 (en) * | 2002-04-11 | 2003-10-16 | Raymond Savarda | Methods, systems, and computer program products for processing a packet-object using multiple pipelined processing modules |
JP4012444B2 (en) | 2002-08-06 | 2007-11-21 | 松下電器産業株式会社 | Delay profile creation method and delay profile creation apparatus |
JP2005094204A (en) * | 2003-09-16 | 2005-04-07 | Yaskawa Electric Corp | Data transmission delay time calculation method in network type control system |
US8155117B2 (en) * | 2004-06-29 | 2012-04-10 | Qualcomm Incorporated | Filtering and routing of fragmented datagrams in a data network |
JP2006050267A (en) | 2004-08-04 | 2006-02-16 | Matsushita Electric Ind Co Ltd | IPsec COMMUNICATION METHOD, COMMUNICATION CONTROLLER AND NETWORK CAMERA |
US8316431B2 (en) * | 2004-10-12 | 2012-11-20 | Canon Kabushiki Kaisha | Concurrent IPsec processing system and method |
AU2005218009B2 (en) * | 2005-09-28 | 2011-01-27 | Canon Kabushiki Kaisha | Decoupled header and packet processing in IPsec |
JP4482630B2 (en) * | 2005-11-21 | 2010-06-16 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Communication apparatus and communication method |
US8031608B2 (en) | 2006-10-02 | 2011-10-04 | Panasonic Corporation | Flow control method, transmitting terminal device used in same, receiving terminal device and packet transfer system |
-
2007
- 2007-12-28 JP JP2007339861A patent/JP5171245B2/en not_active Expired - Fee Related
-
2008
- 2008-12-15 WO PCT/JP2008/003772 patent/WO2009084166A1/en active Application Filing
- 2008-12-15 EP EP08865956A patent/EP2247080A1/en not_active Withdrawn
- 2008-12-15 US US12/808,256 patent/US8711706B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
EP2247080A1 (en) | 2010-11-03 |
WO2009084166A1 (en) | 2009-07-09 |
US8711706B2 (en) | 2014-04-29 |
US20100260062A1 (en) | 2010-10-14 |
JP2009164742A (en) | 2009-07-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20120182891A1 (en) | Packet analysis system and method using hadoop based parallel computation | |
US8665869B2 (en) | System, apparatus, and methods for inserting information into captured data packets | |
JP5171245B2 (en) | Protocol delay measuring apparatus and protocol delay measuring method | |
US7573829B2 (en) | Method and apparatus for low overhead network protocol performance assessment | |
US9634851B2 (en) | System, method, and computer readable medium for measuring network latency from flow records | |
EP3693859B1 (en) | Method and system of latency assessment in a packet data network | |
JP2017539140A (en) | Classification device and method, computer program product, and system for performing real-time classification of data streams | |
US20050107985A1 (en) | Method and apparatus to estimate client perceived response time | |
Gutterman et al. | Requet: Real-time QoE metric detection for encrypted YouTube traffic | |
US9246682B2 (en) | Communication apparatus, method for controlling communication apparatus, and program | |
EP3935548A1 (en) | Privacy-preserving data collecting | |
KR101262446B1 (en) | Apparatus and Method for Preventing Leakage of Individual Information | |
CN108111476B (en) | C & C channel detection method | |
CN111294338B (en) | Illegal request interception method and system | |
US7519086B2 (en) | Method and system to measure data packet jitter | |
JP4235907B2 (en) | Worm propagation monitoring system | |
JP4887081B2 (en) | Communication monitoring device, communication monitoring method and program | |
US12045368B2 (en) | Privacy-preserving data collecting | |
JP7396368B2 (en) | Methods, systems and conversion devices | |
CN107257327B (en) | High-concurrency SSL session management method | |
KR100586234B1 (en) | A flow-based packet generating apparatus for internet traffic, and a method thereof | |
JP2011193055A (en) | Communication device and communication method | |
Zseby et al. | Passive One-Way-Delay Measurement and Data Export | |
JP3797308B2 (en) | Packet log recording device | |
JP2011049757A (en) | Flow information generator, storage method and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100727 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121009 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121107 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121204 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121225 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |